Присоединённая подпись вместо отсоединённой — частая причина, по которой документ не проходит проверку на торговой площадке, в ФНС или в информационной системе контрагента. Вы подписали файл, отправили, а в ответ — отказ: система ждала отдельный файл подписи, а получила контейнер, внутри которого документ и подпись слиплись в одно целое. Разберём, чем эти два вида отличаются на уровне файла, почему КриптоПро и КриптоАРМ по умолчанию могут сформировать не тот тип, и как пересоздать подпись в нужном формате за пару минут, не испортив юридическую значимость. Тему встроенной и графической визуализации подписи мы затрагиваем в большом материале про проверку электронной подписи, где собраны все сценарии проверки на разных площадках.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Чем присоединённая подпись отличается от отсоединённой
Электронная подпись — это число, которое вычисляется на основе содержимого документа и закрытого ключа. По 63-ФЗ это информация в электронной форме, которая присоединена к другой информации или иным образом связана с ней. Вот это «присоединена или иным образом связана» и есть корень всей путаницы. Закон допускает оба варианта упаковки, а информационные системы — нет. Каждая площадка требует свой формат, и если форматы не совпали, проверка падает.
Присоединённая подпись (она же совмещённая) включается внутрь контейнера вместе с документом. На выходе получаете один файл — обычно с расширением .sig или .p7s, реже .sgn. Открыть исходный документ напрямую уже нельзя: чтобы вытащить из контейнера сам файл, нужна программа, которая умеет снимать подпись. Плюс очевиден — потерять документ отдельно от подписи невозможно, всё едет одним файлом, одной «папочкой». Минус тоже понятен: без криптософта первичный документ не посмотришь.
Отсоединённая подпись (откреплённая) лежит рядом с документом отдельным файлом. Исходный PDF, docx или xml остаётся нетронутым — его открываете как обычно, без всякой крипты. А подпись — это отдельный маленький файл .sig, .sgn, .p7s, .sign или .bin. При проверке загружаете два файла: оригинал плюс файл подписи. Большинство госпорталов и торговых площадок работают именно с откреплённой подписью, потому что им важно отдать пользователю читаемый документ и одновременно сохранить доказательство подписания.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Самая частая история — человек привык подписывать «на борту» одним файлом, а площадка хочет два. Он грузит свой sig-файл, система пишет, что не видит документ, и начинается беготня. На деле он просто сформировал присоединённую подпись там, где нужна откреплённая. Лечится пересозданием, а не танцами с бубном.»
Почему КриптоПро и КриптоАРМ формируют не тот тип подписи
Тип подписи задаётся в момент подписания, а не выбирается потом. Это ключевой момент, который многие упускают. Когда вы нажимаете «Подписать», программа спрашивает — или молча применяет настройку по умолчанию — какой вид сформировать. И если профиль подписи настроен на присоединённую, вы получите присоединённую, даже если площадке нужна откреплённая.
В КриптоАРМ есть отдельный параметр «Вид подписи» в мастере «Подпись и шифрование» — присоединённая или отсоединённая. Плюс формат файла: .sig, .p7s, .sgn, .sign, .bin. Если в профиле один раз выставили присоединённую и сохранили, дальше программа будет лепить её каждый раз. Человек подписывает по накатанной, а потом удивляется отказу. Нюанс в том, что профиль запоминает настройки, и проверять его перед отправкой в новую систему стоит каждый раз.
Через командную строку КриптоПро логика ещё прямее. Утилита cryptcp создаёт присоединённую подпись, если вы не указали явно обратное. Параметр -detached формирует откреплённую, на выходе будет отдельный файл вида документ.pdf.sgn в той же папке. Без этого флага получите присоединённую. Опция -attached тоже существует и явно задаёт присоединённый тип. То есть забыли дописать -detached — и вот вам не тот формат. Полный разбор команд есть в отдельной инструкции о том, как создать отсоединённую подпись в КриптоПро — там и про -thumbprint, и про типичные ошибки.
Как создать отсоединённую подпись в КриптоАРМ: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Запустите КриптоАРМ и откройте мастер «Подпись и шифрование» в разделе «Документы».
- Шаг 2. Добавьте исходный документ — тот файл, который нужно подписать (PDF, docx, xml и любой другой).
- Шаг 3. В дополнительных настройках найдите параметр «Вид подписи» и выберите «Отсоединённая».
- Шаг 4. Задайте формат файла подписи под требования площадки — чаще всего это .sig или .p7s, иногда .sgn.
- Шаг 5. Выберите сертификат, подтвердите подписание, введите пин-код токена. Рядом с документом появится отдельный файл подписи.
- Шаг 6. Отправляйте на площадку оба файла — исходный документ и созданный файл подписи.
Мария Ж, юрист со стажем более 20 лет:
«Преобразовать присоединённую подпись в отсоединённую «конвертацией» нельзя — это разные контейнеры. Нужно взять исходный документ и подписать заново с правильной настройкой. Если оригинала под рукой нет, его сначала извлекают из присоединённого контейнера, и только потом подписывают откреплённой. Звучит занудно, но другого пути нет.»
Как исправить: пересоздать подпись в нужном формате
Главное, что нужно усвоить: вы не переделываете существующий файл подписи. Вы создаёте новый. Присоединённый контейнер и откреплённый файл подписи устроены по-разному внутри, и волшебной кнопки «сделать из одного другое» не существует. Поэтому алгоритм исправления всегда сводится к повторному подписанию исходного документа.
Если у вас на руках есть оригинальный документ — тот самый PDF или docx, который вы изначально подписывали, — всё просто. Открываете его в КриптоАРМ или подписываете через cryptcp с флагом -detached, получаете откреплённый файл подписи. Старый присоединённый sig-файл просто выбрасываете, он больше не нужен.
Сложнее, когда оригинала уже нет, а есть только присоединённый контейнер. Тогда документ сначала извлекают: в КриптоАРМ это операция снятия подписи, после которой из контейнера достаётся исходный файл. Дальше подписываете его заново уже отсоединённой подписью. Один лишний шаг, но результат тот же — чистый документ плюс отдельный файл подписи. Когда таких файлов накопилась пачка, выручает массовое подписание документов ЭЦП с единой настройкой формата на всю партию.
Когда документов десятки, а подпись каждый раз формируется не в том формате, ручное пересоздание превращается в рутину. В сервисе Добыто подписание идёт с заранее заданным форматом под конкретную площадку — тип подписи настраивается один раз на маршрут, и сотрудник физически не может выбрать не тот вид. Это снимает большую часть отказов на загрузке.
Отдельно про проверку. Чтобы понять, какой именно тип подписи вы создали, загрузите файл в сервис проверки. Если это присоединённая подпись, в проверку грузите только сам sig-файл — документ внутри. Если откреплённая — грузите два файла, оригинал и подпись. Можно загрузить и zip-архив с обоими файлами внутри, многие сервисы такое понимают. На выходе получите статус подписи и сведения о сертификате. Откреплённую подпись принимает и официальный сервис проверки подписи на Госуслугах — туда тоже грузят документ и файл подписи отдельно.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Образцы документов и инструкции по электронной подписи
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Образец приказа о приёме на работу | Скачать |
| Примерная форма трудового договора | Скачать |
| Образец личной карточки работника | Скачать |
Когда нужна присоединённая, а когда отсоединённая подпись
Не существует «правильного» типа в вакууме. Есть требования конкретной системы, и под них вы подстраиваетесь. Откреплённую подпись чаще всего просят торговые площадки, госпорталы, ФНС, информационные системы контрагентов — им нужно отдать читаемый документ и отдельно проверить подпись. Присоединённую удобно использовать для архивного хранения и пересылки, когда важно, чтобы документ и подпись физически не разлучались.
В кадровом документообороте через Госключ работает строго откреплённая схема. Госключ формирует отсоединённые файлы электронных подписей для документов, которые система работодателя направила на подписание. В одном пакете можно отправить на подпись до 50 файлов — PDF, xml и других. Госключ не меняет сами файлы, а возвращает sig-файл на каждый направленный документ. Файл откреплённой подписи затем должен сохраняться в информационной системе работодателя — это требование к хранению, а не просто рекомендация.
Отсюда вытекает частая ошибка: система КЭДО ждёт от Госключа откреплённый sig, а интеграция настроена так, будто подпись присоединённая. Документ «не сходится», и кадровик видит зависший статус. В практике Добыто мы при настройке интеграции с Госключом сразу закладываем обработку откреплённого sig на каждый файл пакета — это убирает класс ошибок, на которые иначе уходят дни разбирательств.
Мария Ж, судебный эксперт по трудовому праву:
«В суде или на проверке ГИТ предъявляется не бумажка со штампиком, а электронный оригинал с подписью, которую можно проверить. Распечатка с «плашкой» сама по себе юридической значимости не несёт. Поэтому откреплённый sig-файл надо хранить вместе с документом — потеряете подпись, останетесь с красивой картинкой без доказательной силы.»
Типичные ошибки при выборе типа подписи и их цена
Первая и самая массовая ошибка — подписывать «по привычке», не глядя на требования площадки. Сотрудник один раз настроил профиль на присоединённую и гонит так все документы. Делают так, потому что лень читать регламент каждой системы, а профиль уже сохранён. Цена ошибки — сорванные сроки подачи на торгах, повторное подписание, в худшем случае пропущенный дедлайн по заявке, где на кону контракт.
Вторая ошибка — принять графический штамп за подпись. Человек видит на PDF красивую плашку с ФИО и думает, что документ подписан и проверяемый. На деле печатная форма со штампом не имеет юридической силы — это копия для наглядного просмотра, она не пройдёт проверку, потому что не содержит самой подписи. Графическое отображение сведений о сертификате документ юридически значимым не делает. Цена — отказ при проверке и ложное ощущение, что всё в порядке.
Третья ошибка — удалить или потерять откреплённый sig-файл, оставив только документ. Без файла подписи проверить ничего нельзя, доказательство подписания утрачено. Особенно болезненно в кадрах: при проверке ГИТ или в трудовом споре нужен оригинал с проверяемой подписью, а его нет. За время работы сервиса Добыто мы видим этот затык регулярно у компаний, которые хранили документы и подписи в разных местах без привязки друг к другу.
Стоимость подписания документов в КЭДО Добыто
Стоимость зависит от численности сотрудников, выбранного тарифа и набора подключаемых функций — видов подписи, интеграции с 1С, электронного архива. Для задач, где важно стабильно формировать подпись в нужном формате под каждую площадку, отталкиваются от тарифа с поддержкой всех видов ЭП.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — ПЭП и УНЭП, базовые шаблоны | от 30 ₽ за сотрудника / мес | До 25 сотрудников |
| Бизнес — ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив | от 50 ₽ за сотрудника / мес | Минимальная оплата 50 сотрудников за 30 000 ₽ в год |
| Корпорация — всё из Бизнеса, выделенный сервер, API | По запросу | SLA 99.9%, персональный менеджер |
Итоговая сумма складывается из численности персонала, набора видов подписи и потребности в интеграциях и архиве — актуальные тарифы сервиса Добыто помогут посчитать точнее под вашу компанию.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Когда формат подписи зашит в маршрут согласования, проблема «присоединённая вместо отсоединённой» просто не возникает. Сотрудник жмёт одну кнопку, а система сама формирует тот sig, который ждёт принимающая сторона. Это та самая фишка, которая экономит кадровой службе кучу нервов на массовых рассылках ЛНА.»
Выводы: присоединённая и отсоединённая подпись
Присоединённая подпись упаковывает документ и подпись в один контейнер .sig или .p7s, отсоединённая создаёт отдельный файл подписи рядом с нетронутым оригиналом. Большинство торговых площадок, госпорталов и информационных систем требуют именно откреплённую подпись, а Госключ в кадровом ЭДО всегда возвращает отсоединённый sig на каждый файл пакета. Тип подписи задаётся в момент подписания через параметр «Вид подписи» в КриптоАРМ или флаг -detached в утилите cryptcp КриптоПро.
Преобразовать один тип в другой нельзя — исправление всегда означает повторное подписание исходного документа в нужном формате. Если оригинал сохранён, подписываете его заново откреплённой подписью; если остался только присоединённый контейнер, сначала извлекаете документ, потом подписываете. Перед отправкой в новую систему проверяйте профиль подписи и сверяйтесь с её регламентом — именно расхождение настройки по умолчанию с требованием площадки даёт основную массу отказов.
Откреплённый файл подписи храните вместе с документом и не теряйте: без него электронный оригинал теряет доказательную силу, а графический штамп на распечатке юридически ничего не подтверждает. При массовом документообороте формат подписи разумно фиксировать на уровне маршрута, чтобы человеческий фактор не плодил ошибки на каждой загрузке.
Часто задаваемые вопросы
Можно ли конвертировать присоединённую подпись в отсоединённую?
Какое расширение у файла отсоединённой подписи?
Почему площадка не принимает мой sig-файл?
Как проверить документ с откреплённой подписью?
Как создать отсоединённую подпись через КриптоПро в командной строке?
Можно ли открыть документ, подписанный присоединённой подписью, без криптософта?
Какую подпись формирует Госключ?
Графический штамп подписи на PDF — это подпись?
Меняется ли исходный документ при отсоединённой подписи?
В каком формате подписать документ двумя подписями?
Сохраняет ли документ юридическую силу после истечения срока сертификата?
Если документов много, а разные площадки требуют разные форматы подписи, ручное пересоздание sig-файлов превращается в постоянный источник ошибок. Сервис Добыто закрывает эту задачу на уровне маршрута: формат подписи задаётся под конкретный сценарий один раз, и дальше система сама формирует присоединённый или откреплённый файл в нужном виде — сотруднику остаётся нажать кнопку.
Мы подключили к электронному документообороту сотни компаний и в каждом проекте видим один и тот же затык на старте — расхождение формата подписи с требованием принимающей системы. Поэтому обработку формата мы закладываем в настройку интеграции сразу, до первого массового подписания.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — под любой кадровый или хозяйственный процесс
- Формирование присоединённой и откреплённой подписи в нужном формате под конкретную площадку
- Интеграция с Госключом с корректной обработкой откреплённого sig на каждый файл пакета
- Готовый коннектор с 1С (ЗУП, КА, ERP) — ставится за час без привлечения разработчиков
- Вся цепочка подписей фиксируется с метками времени — защита при проверках ГИТ и в суде
- Хранение документов и файлов подписи вместе, с привязкой друг к другу, до 50 лет
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному